Jay Je Yoon Jung, 32 ans, a été arrêté au domicile de ses parents, à Sydney, par la police fédérale australienne. Il s'est montré « légèrement surpris » quand les policiers sont venus l’arrêter, a déclaré le commissaire adjoint de la police fédérale, Ian McCartney, rapporte l'AFP.

Des sources policières proches de l'enquête expliquent au Sydney Morning Herald (SMH) qu'il serait « modeste, intello et doué en informatique », mais également « socialement maladroit, sans partenaire, qu'il ne voyage pas, mais qu'il adore le karaoké ». Il vivait toujours chez ses parents, et travaillait officiellement pour l'entreprise familiale.

Signe qu'il vivait cela dit une seconde vie : Jung possédait une Mercedes noire haut de gamme, d'une valeur (neuve) de 300 000 dollars australiens (183 000 euros). La police, qui estime qu'il aurait stocké la majeure partie des profits de son marché noir en crypto-monnaie, s'attend cela dit à ce que des millions de dollars soient saisis dans les prochains jours dans ses portefeuilles en ligne.

Jung qui, d'après le SMH, aurait été motivé par l'argent, et par le défi intellectuel, est accusé d'être l'administrateur de Ghost (fantôme, en anglais), un cryptophone qui comptaient 400 clients actifs en Australie, parmi lesquels figurent des gangs de bikers australiens, plus 200 autres dans le monde entier, dont des groupes criminels organisés au Moyen-Orient, familles criminelles italiennes et gangs coréens.

« Le reste est réparti entre la Suède, l'Irlande et le Canada, ce qui témoigne des connexions mondiales nécessaires à l'acheminement des principales chaînes d'approvisionnement en drogues vers l'Australie », souligne le SMH.

Ces utilisateurs sont eux-mêmes accusés d'avoir utilisé Ghost pour « mener à bien un large éventail d'activités criminelles, notamment le trafic de drogue à grande échelle, le blanchiment d'argent, des actes d'une extrême violence et d'autres formes de criminalité grave et organisée », souligne Europol.

Une opération permise par deux logiciels espion

Jung aurait lancé son réseau Ghost il y a 10 ans, lorsqu'il n'avait que 23 ans. Au cours des neuf dernières années, le jeune homme aurait vendu ses cryptophones, assortis d'un abonnement et d'une assistance technique de six mois, pour environ 2 350 dollars australiens (soit 1 430 euros).

Huit « revendeurs » triés sur le volet, eux-mêmes membres expérimentés ou fins connaisseurs des gangs criminels, étaient chargés de contrôler les nouveaux utilisateurs potentiels, avant de leur vendre (ou pas) un cryptophone Ghost.

Les services de police du monde entier connaissaient l'existence de Ghost depuis des années, grâce à l'examen de téléphones saisis lors d'arrestations de criminels en Australie et dans d'autres pays, précise le SMH. Europol avait mis en place une task force opérationnelle (OTF) en mars 2022, avec la participation des services répressifs de l'Australie, du Canada, de la France, de l'Irlande, de l'Italie, des Pays-Bas, de la Suède et des États-Unis.

Une équipe commune d'enquête avait ensuite été créée entre les autorités françaises et américaines en janvier 2024, avec le soutien d'Eurojust et d'Europol, et des experts déployés en Islande, Irlande et en Australie.

Les cyberenquêtes et l'analyse des transactions de crypto-monnaies avaient permis de repérer les serveurs de Ghost en France et en Islande, tandis que les actifs financiers étaient situés aux États-Unis.

Des gendarmes français de l'Unité nationale cyber C3N membres de l'OTF ont finalement repéré le créateur de l’application en Australie, permettant à Europol d'alerter la police australienne que l'administrateur de Ghost « semblait se trouver à Sydney », rapporte le SMH.

Mais pour infiltrer Ghost, la police australienne a d'abord dû introduire un logiciel espion dans les ordinateurs de l'administrateur, ce qu'elle parvint à faire en mars 2024. Ne lui restait plus qu'à modifier les mises à jour envoyées par Jung aux utilisateurs de Ghost, afin d'infecter leurs appareils, et d'accéder à leurs contenus, précise le SMH :

« La police avance que chaque fois qu'il envoyait une mise à jour, une copie de sauvegarde des messages était transmise à la Police fédérale australienne, ce qui fait que plus de 125 000 échanges des six derniers mois sont désormais entre les mains des forces de l'ordre. »

Les sources du SMH évoquent notamment des photos de chiens sur des piles d'argent cash, de montres de luxe, de canons d'armes pressés contre des tempes, de selfies et même de « dick picks ». À l'échelle mondiale, d'après Europol, « environ un millier de messages » étaient échangés chaque jour via Ghost.

51 suspects arrêtés, 200 kg de drogues et 1,2 M$ saisis

Jung, qui assurait l'assistance technique de Ghost, interagissait personnellement avec ses clients criminels, souligne la police, pour qui « il était parfaitement conscient des ravages que sa création causait dans les rues de Sydney, de Melbourne et d'ailleurs ».

Une cinquantaine de « menaces de mort » auraient été identifiées et enrayées, estime la police. Ces opérations auraient été permises via la découverte de complots visant à recourir à des actes d'une « violence extrême » à l'encontre de gangsters rivaux, leurs associés et leurs familles, ont été découverts dans les messages interceptés.

Dans l’un des cas, les enquêteurs ont intercepté la photographie d’une personne avec un pistolet sur la tempe. Il a été sauvé « dans l’heure », selon Kristy Schofield, commissaire adjointe de la police fédérale australienne, précise l'Agence France Presse.

Plus de 700 policiers ont par ailleurs été mobilisés pour interpeller des utilisateurs de Ghost à Sydney et Melbourne, ainsi qu'en Europe et en Amérique du Nord dans le cadre d'une opération intitulée « Kraken », détaille la police australienne.

Au total, 51 suspects ont été arrêtés : 36 en Australie, 11 en Irlande, trois autres en Afrique du Sud, Afrique de l'Ouest et au Canada, et un en Italie. Ce dernier appartiendrait au groupe mafieux italien Sacra Corona Unita (« Couronne sacrée unie » en français), basée dans la région des Pouilles, située dans l'extrême sud-est du pays et créée (depuis une prison) afin de résister aux tentatives de la 'Ndrangheta et de la Cosa nostra de s'implanter dans la région.

D’autres arrestations sont prévues à mesure que l’enquête progressera, précise Europol. La police a en outre mis la main sur quelque 376 téléphones disposant d’un accès à Ghost, plus de 200 kilos de drogue, 1,2 million de dollars australiens en espèces et 25 armes.

The Register souligne que la police irlandaise a de son côté déployé plus de 300 agents spécialisés et perquisitionné 33 locaux, ciblé quatre organisations criminelles, « démantelé un des principaux itinéraires de trafic de stupéfiants » utilisé dans le pays et, ce faisant, saisi des drogues d'une valeur marchande approximative de 16 millions d'euros et 350 000 euros en espèces.

Les projets CERBERUS, EXFILES et OVERCLOCK de décryptage des données

Ghost, dont le site web est encore en ligne (archive), avance que les données sont chiffrées de bout en bout, qu'il n'y a pas de porte dérobée, que le code est régulièrement audité par des experts indépendants (mais sans les rendre publics) et que, en termes de chiffrement post-quantique, « les données sont protégées contre les cyberattaques à l'aide de Curve25519, Double Ratcheting et Extended Triple Diffie-Hellman », le rendant a priori incassable, précise le SMH :

« Des couches de sécurité supplémentaires, l'auto-suppression des messages, la possibilité de maquiller sa voix, le recours aux pseudonymes et une fonctionnalité d'effacement à distance signifiaient que même les téléphones saisis ne pouvaient pas être d'une grande utilité [pour les policiers, NDLR]. »

« Un certain nombre de développements techniques » de l'enquête ont été soutenus par le projet Overclock (pour « Operational Vanguard: using Encryption Research for Criminal LOCKdown ») du Fonds pour la sécurité intérieure (FSI), financé à hauteur de 4 millions d'euros par la Commission européenne.

Cette plateforme de décryptage des données chiffrées, lancée en 2021 et qui est censée s'arrêter le 30 septembre 2024, avait succédé à la plateforme Cerberus (pour « Child Exploitation Response by Beating Encryption and Research to Unprotect Systems ») de craquage de mots de passe développée par l'Institut de recherche médico-légale de la gendarmerie française (IRCGN) et l'Institut médico-légal des Pays-Bas (NFI) en 2019 pour un coût initial de 2,3 millions d'euros.

Après le succès de #Cerberus, projet made in #PJGN qui met à disposition des forces de l'ordre européennes 1 plateforme de craquage mots de passe,
le projet #Overclock (Operational Vanguard: using Encryption Research for Criminal LOCKdown) obtient 4 millions d'€ par l'#UE🇪🇺 pic.twitter.com/FClWHwyqdH

— 🇫🇷 PJGN (@GendarmeriePjgn) June 29, 2021

Son objectif était de « pousser plus loin les capacités de l'UE dans le domaine de l'investigation numérique », notamment en matière de 5G, et plus particulièrement de casser les systèmes de sécurité et de chiffrement « en se concentrant sur l'accès en direct à ces dispositifs chiffrés », via des exploits, voire même « sans avoir besoin de craquer le mot de passe initial, ou même à distance, sans disposer d'un accès physique à l'appareil » :

« OVERCLOCK vise à permettre l'extraction de données lisibles à partir de ces appareils grâce à la découverte de vulnérabilités techniques et à la rétro-ingénierie des applications utilisées par les réseaux criminels […] en explorant les protocoles de réseau récents et en ciblant les solutions côté serveur. »

Réunissant les experts inforensiques des polices françaises, néerlandaises, danoises et allemandes, OVERCLOCK reposait également sur celle de l'entreprise française de sécurité offensive SYNACKTIV. Celle-ci a par ailleurs contribué au projet Exfiles (pour « Extract Forensic Information for Law Enforcement Agencies from Encrypted Smart Phones »), lui aussi financé par l'UE à hauteur de sept millions d’euros pour contourner l’« obstacle » du chiffrement, et qui avait elle-même succédé à CERBERUS.

Au total, Jung aurait vendu plus de 1 700 cryptophones en dix ans. Il a été inculpé de cinq délits, dont le plus grave est passible de dix ans de prison, et notamment pour assistance à une organisation criminelle, trafic d'argent suspecté d'être d'origine criminelle et infractions liées aux crypto-monnaies. Les chefs d'accusation sont assortis de peines allant de un à dix ans d'emprisonnement, d'après UPI.

C'est (au moins) la troisième fois que l'expertise criminalistique de la gendarmerie française en matière d'inforensique se distingue sur le plan international, après le démantèlement de précédents cryptophones, dont Phantom Secure, EncroChat, Sky ECC, No.1 BC, Exclu et An0 m (qui avait de son côté été développée et promue par un repenti, pour le compte du FBI, afin de cibler l'écosystème criminel australien, et ses ramifications internationales), et Ciphr (qui avait pour sa part cessé de fonctionner suite au démantèlement d'An0 m).

• La « nouvelle arme » anti-cryptographie de la gendarmerie
• La gendarmerie a (de nouveau) cassé des messages chiffrés